BigQuery 区域端点
本页介绍如何使用 Private Service Connect 区域端点访问 BigQuery 中的资源。使用区域端点,您可以根据符合数据驻留和数据主权要求的方式运行工作负载,其中请求流量会直接路由到端点中指定的区域。
概览
区域端点是请求端点,有助于限制请求,只有在受影响的资源存在于端点指定的位置时,才允许请求继续。
例如,如果您在删除数据集请求中使用端点 https://bigquery.us-central1.rep.googleapis.com,则仅当数据集位于 US-CENTRAL1 中时,请求才会继续。
与全球端点不同(全球端点可将请求路由到不同于资源所在位置的其他位置),区域端点可帮助您将请求限制在端点指定的位置(即资源所在的位置)。对于从互联网、其他Trusted Cloud by S3NS 资源(例如 Compute Engine 虚拟机)、使用 VPN 或 Interconnect 的本地服务以及虚拟私有云 (VPC) 收到的请求,区域端点会在端点指定的位置终止 TLS 会话。
区域端点有助于确保数据驻留,因为它们会将静态表数据和传输中的表数据保留在端点指定的位置。此保证不包括资源元数据,例如数据集名称和 IAM 政策。如需了解详情,请参阅有关服务数据的说明。
BigQuery 包含多个 API。以下 API 可与区域级端点搭配使用:
| API | 网址 | 参考文档 |
|---|---|---|
| BigQuery API | bigquery.LOCATION.rep.googleapis.com |
REST |
| BigQuery Storage API | bigquerystorage.LOCATION.rep.googleapis.com |
RPC |
| BigQuery Reservations API | bigqueryreservation.LOCATION.rep.googleapis.com |
RPC 和 REST |
| BigQuery Migration API | bigquerymigration.LOCATION.rep.googleapis.com |
REST |
| BigQuery Data Transfer Service API | bigquerydatatransfer.LOCATION.rep.googleapis.com |
RPC 和 REST |
支持的位置
您可以使用区域端点将数据保留在以下位置:
亚太地区
- 德里
asia-south2 - 孟买
asia-south1
- 德里
欧洲
- 比利时
europe-west1 - 法兰克福
europe-west3 - 伦敦
europe-west2 - 米兰
europe-west8 - 巴黎
europe-west9 - 苏黎世
europe-west6
- 比利时
中东
- 达曼
me-central2
- 达曼
美国
- 爱荷华
us-central1 - 南卡罗来纳
us-east1 - 北弗吉尼亚
us-east4 - 俄亥俄州哥伦布
us-east5 - 达拉斯
us-south1 - 俄勒冈
us-west1 - 洛杉矶
us-west2 - 盐湖城
us-west3 - 拉斯维加斯
us-west4
- 爱荷华
支持的操作
区域端点只能用于执行访问或更改存储在端点指定位置的资源的操作。区域端点不能用于执行访问或更改端点所指定位置以外的资源的操作。
例如,当您使用区域端点 https://bigquery.us-central1.rep.googleapis.com 时,您可以读取位于 US-CENTRAL1 的数据集中的表,并且仅在这两个数据集都位于 US-CENTRAL1 时将表从源数据集复制到目标数据集。如果您尝试从 US-CENTRAL1 之外读取或复制表,则会收到错误。
局限和限制
区域端点不能用于执行以下操作:
- 访问或更改端点所指定位置以外的资源的操作
- 将资源从一个位置复制、复制或重写到另一个位置。
使用区域端点时,请注意以下限制:
- 区域端点不支持双向传输层安全协议 (mTLS)。
- 使用区域级端点不会限制在端点区域之外创建资源。如需限制资源创建,请使用组织政策服务资源位置限制条件。
- 跨区域数据集复制和跨区域表复制不受端点保护的限制。
使用区域端点的工具
控制台
如需以符合数据驻留或主权要求的方式访问 BigQuery 资源,请使用管辖区Trusted Cloud 控制台网址:
| 资源 | 网址 |
|---|---|
| 项目的数据集列表 | https://console.JURISDICTION.cloud.google.com/bigquery?project=PROJECT_ID |
| 数据集的表列表 | https://console.JURISDICTION.cloud.google.com/bigquery/projects/PROJECT_ID/datasets/DATASET_NAME/tables |
| 表的详细信息 | https://console.JURISDICTION.cloud.google.com/bigquery/projects/PROJECT_ID/datasets/DATASET_NAME/tables/TABLE_NAME |
将 JURISDICTION 替换为以下某个值:
eu(如果资源位于欧盟)sa(如果资源位于沙特阿拉伯王国)us(如果资源位于美国)
命令行
如需配置 Google Cloud CLI 以与区域端点搭配使用,请完成以下步骤:
确保您使用的是 Google Cloud CLI 402.0.0 或更高版本。
将
api_endpoint_overrides/bigquery属性设置为您要使用的区域端点:gcloud config set api_endpoint_overrides/bigquery https://bigquery.LOCATION.rep.googleapis.com/bigquery/v2/
或者,您可以将
CLOUDSDK_API_ENDPOINT_OVERRIDES_BIGQUERY环境变量设置为端点:CLOUDSDK_API_ENDPOINT_OVERRIDES_BIGQUERY=https://bigquery.LOCATION.rep.googleapis.com/bigquery/v2/ gcloud alpha bq datasets list
REST API
对于 REST API,请向区域级端点(而非服务端点)发送 REST 请求,格式如下:https://bigquery.LOCATION.rep.googleapis.com。
限制全球 API 端点用量
为了帮助强制使用区域端点,请使用 constraints/gcp.restrictEndpointUsage 组织政策限制条件来阻止对全球 API 端点的请求。如需了解详情,请参阅限制端点用量。